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^ (57) Abstract: The invention relates to a device (5) for storing a list of elements, in which any element (J) that has been presented 
fs| thereto is stored last. The inventive device comprises a first memory unit (3) and means for randomly selecting an element stored in 

Othe first memory unit, such that said selected element can be deleted and a new presented element stored when the first memory unit 
^ is full and a new element must be stored. The invention also relates to a method of storing an element (J) in one such device (5). 
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Publiee : 

— sans rapport de recherche intemationale, sera republiee 
dks reception de ce rapport 



En ce qui conceme les codes d deux lettres et autres abr^via- 
Hons, se riferer aux "Notes expUcatives relatives aux codes et 
abr^viations" figurant au dSbut de chaque numiro ordinaire de 
la Gazette du PCT. 



(57) Abrege : L'invention conceme un dispositif (5) de memorisation d*une liste d'^Mments destine ^ m6moriser tout 616ment (J) 
qui lui a 6t6 pi^sent6 en demier lieu. II comprend une premiere m6moire (3) et des moyens charges, lorsque la premiere m^moire est 
pleine et qu'un nouvel 616ment doit etre m6moris6, de s^lectionner al^toirement un 616ment m^moris^ dans la premise mdmoire 
pour effacer cet 616ment s61ectionn6 et pour m^moriser le nouvel 616ment pr6sent6. EUe conceme aussi un pioc^dd de memorisation 
d'un element (J) dans un tel dispositif (5). 
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PIspositif de memorisation d'une llste d^elements et orocede de 
mfemorlsatlon d'un element dans un tel dlspositif 

Pomaine de rinventlon 
5 La prisente invention se rapporte d'une maniere gdndraie au 

domaine de la s§curit6 dans des systemes qui necessitent la memorisation d'un 
historique securise. Elle conceme plus particuiierement un dispositif de 
memorisation d'une llste d'§i§ments et un precede de memorisation d'un 
element dans un tel dispositif. 

10 

Etat de la technique 

Pour se prdmunlr contre des tentatives iliegaies d'acoes a des 
donnees ou des operations frauduleuses sur des donnees, il est courant dans 
les systemes dits <( securises » de consen^er un historique d'evenements ou 

1 5 une liste d'operatlons effectuees. 

Un exemple typique conceme un dispositif d'enreglstrement qui n'est 
autorise Si effectuer qu'une cople unique (ou un nombre llmite de copies) de 
chaque contenu qu'il est susceptible d'enregistrer. Ceci est necessaire avec les 
dispositifs d'enregistrement numeriques pour eviter la proliferation de copies 

20 iliegaies tout en autorisant la copie k usage prive. Une solution immediate pour 
garantir ceci consiste d oonserver dans ie dispositif d'enregistrement une liste 
de tous les contenus (ou plus precisement une liste d'identifiants de tous les 
contenus) dejd enregistres par lui. Cliaque fols que Ie dispositif 
d'enregistrement regoit une commando d'enregistrement d'un contenu 

25 particuller, il verifie avant que ce contenu n'est pas present dans la liste des 
contenus deja enregistres. Si Ie contenu (ou plus precisement son identifiant) 
est present dans la liste, Ie dispositif d'enregistrement refuse de I'enregistrer. 

Le probieme qui ressort de Texempie cl-dessus est que Ie nombre 
potentiel de contenus d enreglstrer est sans llmite. II faudralt done pour garantir 

30 la securite du systdme que la llste des contenus dejd enregistres solt aussi 
sans llmite. ce qui n'est pas possible dans les appareils d'electronlque grand 
public. Pans ce type d'apparell, on utilise habituellement une memoire de type 
FIFO (acronyme de « First In First Out » signifiant « Premier Entre Premier 
Sorti ») pour memoriser une llste telle que cl-dessus. 

35 Mais si le but de cette llste est de garantir une certaine securite dans 

un systeme, comme dans I'exemple ci-dessus oD la liste est tenue pour eviter la 
cople lliicite de contenus, ou bien dans le cas d'une liste de revocation 
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contenant des Identiflants de cl6s cryptographlques ou d'appareils qui ne sont 
plus conslder6s comme conformes ou licites par un organisme de conflancei 
alors la solution consistant d mdmoriser une telle liste dans une mdmoire FIFO 
n'est pas satlsfalsante. En effet, si la mdmoire a une tallie lul pennettant de 
5 memoriser n 6l6ments, II suffira d un pirate de presenter n+1 6l6ments au 
disposittf m6morisant la liste pour etre sOr que le premier element m6moris§ est 
effaoS de la liste, ce qui compromet bien evidemment la sScurite du systdme. 

ExDos6 de rinvention 

10 . La presente invention vise ^ r6soudre les probl§mes pr6clt6s. 

Elle a pour objet un dispositif de memorisation d'une liste d'^lements 
destln6 k m6moriser tout 6l6ment qui lul a 6t& presents en dernier lieu. Ce 
dispositif comprend une premldre mdmoine et il comporte en outre selon 
rinvention des moyens charges, lorsque la premiere m6moire est plelne et 

15 qu'un nouvel 61§ment dolt Stre m6morls6, de sSlectlonner al6atoirement un 
61§ment m6morIs6 dans la premifere m6moire pour effacer cet 6iement 
s61ectlonn6 et pour m6moriser le nouvel eI6ment pr§sent§. 

Seion une caract6ris1ique parHcullere de i'inventlon, ie dispositif est 
capable de m§moriser N 6l6ments, N 6tant un entler natural, et il comporte en 

20 outre une deuxieme m6mo!re destin§e d m6morlser en penmanence les M 
didments qui ont 6td pr6sent§s en demler lieu audit dispositif, 1^ dtant un entler 
naturel infSrieur & N, la premiere m6moire 6tant destln6e d m6morlser ies N-M 
autres 6l§ments. 

GrSce au dispositif seion rinvention, mdme si on lui pr6sente plus de 
25 N 616ments ^ m6morlser, il n'y a aucun moyen de savoir d la fin quel(s) 
§l6ment(s) ne se trouve(nt) plus dans le dispositif. 

Selon une autre caract§ristique, le dispositif est en outre adapts k 
foumir une Information indiquant si l'6lement qui lul a 6t6 prSsent6 en dernier 
ileu est d6jd present dans le dispositif. 
30 Selon encore une autre caractSristique, le dispositif ne contient qu'un 

seul exemplaire de cliaque 6i6ment memorise. 

Selon un aspect particulier de invention, le dispositif memorise en 
outre, avec cheque 6l6ment, ie nombre de fois oD cet Element lul a 6t6 
pr^ent6. 

35 Selon un autre aspect de invention, le dispositif est adapts d foumir 

une information indiquant si I'^ISment qui lui a et6 pr6sent6 en dernier lieu lul a 
d^J^ et§ presente un nombre de fois qui d6passe un nombre pr6d6termin6. 
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Uinvention conceme egalement un proced§ de memorisation d'un 
element dans un dlsposltif tel que decrit cl-dessus. II comprend les stapes 
consistent k (a) recevoir un 6l6ment qui est presente au dispositif ; (b) verifier si 
cet didment est ddjd present dans le dlsposltif ; et 
5 - en cas de verification positive, designer I'6l6ment oomme 6l§ment 

mdmorisd en dernier lieu, et 

- en cas de verification negative, mdmoriser i'diement dans le 

dispositif. 

Selon un mode de realisation particuller, en cas de verification 
1 0 negative a retape (b) : 

- si la deuxieme memoire n'est pas pleine, reiement regu est 
memorise dans la deuxieme memoire ; et 

- si la deuxieme memoire est plelne : 

i) reiement le plus ancien memorise dans la deuxieme 
15 memoire est transfere vers la premiere memoire ; 

ii) I'eiement roQU est memorise dans la deuxieme memoire 

(2);et 

lil) si la premiere memoire est pleine, alors un element 
memorise dans la premiere memoire est seiectlonne aieatolrement pour dtre 
20 efface de sorte que i'eiement le plus ancien memorise dans la deuxieme 
memoire pulsse dtre transfere vers la premiere memoire. 

Breve description des dessins 

D*autres caracteristiques et avantages de IMnvention apparaTtront a 
25 travers la description d'un mode de realisation particuller non llmitatif de celle-ci, 
expllcite d I'aide de la figure unique annexee qui represente de maniere 
schematlque un dispositif de memorisation selon I'lnvention. 

Description detailiee de modes de realisation de I'inventlon 
30 Le dispositif de memorisation de Tlnvention est prevu pour oontenir 

au maximum N elements, par exemple des identifiants de contenus e 
eniegistrer. Ce dispositif, qui porte la reference 5 sur la figure unique, est 
notamment integre dans un appareil d'enregistrement numerique. 

Le dispositif 5 comprend deux memolres A et B. La memoire A, 
35 referencee 2, contient au maximum M eiemente et la memoire B, referencee 3, 
contient au maximum P elements, de sorte que N = M + P, oD, N, M et P sent 
des entiers naturels. 
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La mimoire A contient toujours les M demiers Pigments qui ont 6t§ 
m^moris^s dans le dispositif. La mdmoire B contient quant k elle des 6l6nrients 
qui ont 6t6 mdmorisds avant les M demiers 6Idments. 

Lorsqu'un nouvei Aliment J est prdsente au dispositffi par exempie 

5 lorsqu'une commande d'enreglstrement d'un nouveau oontenu est regue par 
I'appareii d'enregistrement, i'identifiant du oontenu (con-espondant d I'6l6ment 
J) est pr6sent§ au dispositif de memorisation 5 pour verifier s'il est deja oontenu 
dans la liste memoris^e dans le dispositif 5 ou non. 

Si I'§l6ment J est d6Jd present dans la memoire A, alors il est marqu6 

10 dans la mdmoire A comme dernier dl6ment memorise. Si i'6l§ment J est dejd 
present dans la mdmoire B, alors il est d^placd dans la mdmoire A d 
i'empiacement du demier 6i6ment m6moris6. Dans ces deux cas. le dispositif 5 
retoume alors I'information selon laqueiie Tdidment J est prdsent. 

Si I'el^ment J n'est present ni dans la memoire A ni dans la m§moire 

15 B, alors J est m§moris§ dans la memoire A. Si la m§moire A contenalt dej§ IVl 
elements, alors r§]§ment le plus ancien m6moris6 dans la memoire A est 
transmis d la m§molre B pour y §tre enreglstre. ii est en meme temps efface de 
la memoire A pour laisser la place d i'6l6ment J. Si la m§moire B est §galement 
pleine, c'est d dire si elle contient ddjd P didments, alors un dl6ment d6Jd 

20 m6moris6 dans la m6moire B est selecHonne al§atoirement pour Stre effac§ et 
remplaod par Tdldment le plus ancien de la mdmoire A. Le disposlttf 5 retoume 
alors rinformation selon laqueiie I'dldment J n'dtait pas prdsent mals est 
maintenant mdmorisd. 

25 En se rdfdrant plus partlcull&rement a la figure unique, le dispositif de 

memorisation 5 comprend un dispositif de gestion 1 et deux memoires A et B 
r6f6renc6es respectivement 2 et 3. 

Le dispositif de gestion 1 possdde trols entr§es 10. 13 et 15 et trois 
sorties 11, 12 et 14. L'entrSe 10 regoit reidment J d mSmoriser qui est ensulte 
30 transmis d la sortie 12 du dispositif de gestion. 

La sortie 1 1 est un signal boolSen qui indique si i'§l§ment J se trouve 
ddjd memorise dans le dispositif de memorisation 5. Le signal present di la 
sortie 1 1 vaut « 1 » (pour « vrai ») si I'eiement J est d6jd memorise et vaut <c 0 » 
(pour « faux ») dans le cas contraire. Les entrees 13 et 15 et la sortie 14 sent 
35 egalement des signaux booieens qui seront decrtts cl-dessous. 

La memoire A possede deux entrees 20 et 21 et deux sorties 22 et 
23. L'entree 20 regoit la sortie 12 du dispositif de gestion qui lui transmet 
I'eiement J d memorlser ou dont la presence doit dtre recherchee dans la 



wo 2004/036411 




PCT/EP2003/050718 



5 



m^molre A. L'entr^e 21 qui est relive k la sortie 14 du dispositif de gestion 1 est 

un signal boolean qui indique, lorsque sa valeur est « 1 » (« vrai ») que 

rel6ment J regu d rentr§e 20 doit etre m6morls6 dans la mimoire A. 

La sortie 22 de la mdmoire A est Sgalement un signal boolden qui 
5 indlque, lorsque sa valeur vaut « 1 » (« vral »), que I'^ISment J prSsente § 

I'entree 20 est ddjd present dans la mdmoire A. Cette sortie 22 est relide d 

i'entree 15 du dispositif de gestion 1. 

La sortie 23 de la m§moire A est utilisSe seulement lorsque la 

m6moire A est pieine et qu'un nouvel 6l§ment pr^ent d i'entree 20 doit etre 
10 m6moris6. Dans ce cas, la sortie 23 foumit i'6i6ment le plus ancien memorise 

dans la mdmoire A. Dans le cas contralre. la sortie 23 ne fournit aucun signal. 

La m^molre B oomporte quant d elle deux entrtes 30 et 32 et une 

sortie 31. L'entr6e 30 est relive d la sortie 12 du dispositif de gestion 1 et regoit 

I'6l6ment J dont la presence dans la m6moire B doit etre v^rifiee. La sortie 31 
15 est un signal booieen dont la valeur est « 1 » (« vrai ») lorsque i'element J regu 

a I'entree 30 est present dans la m^moire B ; elle est reiiee k I'entree 13 du 

dispositif de gestion 1 . 

L'entree 32 de la mSmoire B regoit quant a elle Teldment a 

mdmoriser qui provlent de la mdmolre A lorsque cette demldre est plelne. 
20 L'entr§e 32 est a oet effet relive d la sortie 23 de la memoire A. 

Le fonctionnement de I'ensemble est le suivant. Lorsque le dispositif 

de gestion 1 regoit un 6i§ment J sur son entree 10, il foumit cet §l6ment J sa 

sortie 12. Si cet 6l6ment J est present dans la mSmolre A, un signal « 1 » (pour 
25 « vrai ») est regu sur i'entree 15 du dispositif de gestion 1. Si i'6i§ment J est 

present dans la nn6nriolre B, un signal « 1 » (pour « vral ») est regu d I'entree 13 

du dispositif de gestion 1 . 

SI les deux signaux bool6ens regus sur ies entries 13 et 15 du 

dispositif de gestion ont une valeur « 0 » (c'est k dire « faux »), cela signifie que 
30 r^lSment J regu en entree 10 n'est present ni dans la mSmoire A ni dans la 

memoire B. Dans ce cas, le dispositif de gestion 1 foumit sur sa sortie 1 1 un 

signal « 0 » (« faux ») et sur sa sortie 14 un signal « 1 » signifiant que I'SISment 

J doit etre enregistre dans ia memoire A. 

Si le signal booieen regu sur I'entree 15 a une valeur « 1 » (« vrai »X 
35 signifiant que I'6l6ment J est dejd present dans la mSmoire A, alors le dispositif 

de gestion 1 foumit sur sa sortie 11 un signal <c 1 » (« vrai ») et sur sa sortie 14 

un signal « 0 ». 
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Dans le cas oD le signal boolean re^ sur rentree 13 a une vaieur 
« 1 » (« vrai »), signifiant que l'6l§ment J est d§Jgi present dans la m§molre B, 
alors le dispositif de gestlon 1 foumit sur sa sortie 1 1 un signal 1 » (« vrai ») et 
sur sa sortie 14 un signal « 1 ». 

5 

Lorsque la m6moire A report: sur son entree 20 un Sl^ment J, elle 
v^rifie tout d'abord si elle contlent dSJa cet Aliment. Si rSI6ment J est d6jd 
present dans la mSmoIre A, alors le signal en sortie 22 prend la vaieur « 1 » 
(« vrai »). L'element J est alors d6slgn§ comme Telement m§moris6 en dernier 

10 lieu par la memoire A. Par exemple, TSIement J est place en tete de pile si la 
mdmoire A a une structure de pile, ou blen une table d'Index des 6l6ments 
stockds dans la mdmoire A est mise d Jour. 

Dans le cas contralie (J non present dans la mdmoire A), la sortie 22 
prend la vaieur « 0 » (« faux »). 

15 Lorsque le signal regu sur Tentr^ 21 de la memoire A est c< vrai » 

(vaieur « 1 »), signifiant que r6l§ment J present sur rentr§e 20 doit dtre 
m§moris§ dans la memoire A, II existe deux posslbilit^s. Soit la memoire A 
contlent molns de M 6l6ments et elle memorise le nouvei element J qui devient 
I'dlSment m6moris6 en demier lieu. SoK la memoire A contlent deja M elements. 

20 Dans ce demier cas, elle place sur sa sortie 23 r6l6ment le plus ancien et elle 
Teffoce de sa mdmoire pour mdmorlser le nouvei Pigment J comme 6l6ment le 
plus recent 

La m§moire B a un comportement different de la m6moire A. 
Lorsqu'un Sl^ment J est repu sur l'entr§e 30 de la m6moire B, celle-cl verifie si 
25 elle contient d§jd cet 6l§ment J. Si cela est vrai, alors la sortie 31 prend la 
vaieur « 1 », sinon (J pas present dans la memoire B), la sortie 31 prend la 
vaieur « 0 

Si un 6l6ment J provenant de la mSmoIre A est regu sur Tentr^e 32 
de la memoire B, alors deux posslbilit^s se prdsentent : solt le signal 31 est 
30 « vrai » (vaieur « 1 ») solt le signal 31 est « faux » (vaieur « 0 »). 

SI le signal 31 est « vrai », alors le nouvei §l§ment regu sur I'entrde 
32 de la memoire B remplace TelSment dont la vaieur est pr6sente sur I'entr^e 
30 (qui est d§plac6 vers la m§molre A). 

Si le signal 31 est « faux », il existe encore deux possibilitSs : soit la 
35 memoire B contient moins de P Elements et eile memorise le nouvei element J ; 
soit la mdmoire B contlent dejd P 6l6ments, c'est d dire qu'elle est pleine. Dans 
ce demier cas, elle sdlec^onne de mani6re aldatoire un didment ddjd m^morlsd 
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dans la memolre B et elle Tefface pour m^moriser d la place le nouvel element 
re^u sur son entree 32. 

La mdmolre B se vide done de manlere alSatoire. Un pirate qui 
souhaiteralt 6liminer un §l§ment du disposltif de mdmorlsation 5 devrait done 
5 faire beaucoup plus de tentatives que dans le eas d'une simple mdmoire de 
type FIFO. En effet, si la tallie globale de la memolre est de N 6!Sments, un 
pirate devra effectuer en moyenne bien plus de N tentatives pour ^liminer un 
element de la m§moire. 

On notera que les m§moires A et B qui sent representees de 

10 manidre s§par§e sur la figure unique peuvent en realite @tre deux sous- 
ensembles d'une m3me mdmoire physique. 

L'Invention ne se limite pas k I'exemple de realisation qui vient d'dtre 
ddcrit. En variante, le dlsposiUf de memorisation 5 peut en elTet comporter une 
memolre A de taille nulle. Dans une autre variante, on permet d un utillsateur de 

15 presenter un nombre determine de fois cliaque element au disposltif de 
memorisation. Par exemple, si ce disposltif est integre dans un appareil 
d'enregistrement, et que Ton autorise cet appareil d realiser un nombre x de 
copies de chaque contenUi on stoclcera dans la memolre, avec chaque 
identifiant de oontenu dejd enreglstre par i'appareil, le nombre y de Ibis oD le 

20 contenu a ete presente d I'appareil pour enregistrement. Lorsque le nombre y 
de presentation d'un contenu donne attelnt le nombre x, alors II n'est plus 
possible d'enregistrer oe contenu et le disposltif de memorisation 5 retoumera 
une information eorrespondante § I'appareil d'enreglstrement 



s 
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1. Dispositlf (5) de memorisation d'une liste d'6l6ments destin§ d 
5 m6moriser tout 6l6ment (J) qui lui a 616 pr§sen16 en dernier lieu et comprenant 

une premiere mdmoire (3), caract§ris6 en ce qu'll comporte en outre des 
moyens charges, brsque ia premldre memoire est pleine et qu'un nouvel 
6l§ment doit §tre memorise, de selectionner al§atoirement un element 
memorise dans la premiere memoire pour effacer cet 6l6ment s6iectionn6 et 
10 pour memoriser le nouvei Element presente. 

2. Dispositlf selon la revendication 1 capable de mdmoriser N 
6l6ments, N 6tant un entler naturel, caract6ris6 en ce quMI comporte en outre 
une deuxi^me mdmoire (2) destinde k mdmoriser en permanence les M 

15 6ldments qui ont 6t§ pr6sent6s en demier lieu audit dispositif, M dtant un entier 
naturel inf§rieur a N, 

ia premiere memoire (3) 6tant destinee d m§moriser les N-M autres 

elements. 

20 3. Dispositif seion i'une des revendications 1 ou 2, caract6ris6 en ce 

qu'll est en outre adaptd d fbumir une Information indiquant si I'element (J) qui 
lui a 6t6 presente en demier lieu est ddjd present dans ledit dispositlf. 

4. Dispositif seion I'une des revendications 1 ii 3, caract§ris6 en ce 
25 qu'll ne contient qu'un seul exempiaire de cliaque 6i6ment mdmorisd. 

5. Dispositif selon I'une des revendications pr6c6dentes, caract6ris6 
en ce qu'ii memorise en outre, avec chaque didment, le nombre de fols oO cet 
6l6ment lui a 6t6 pr6sent6. 

30 

6. Dispositif seion la revendication 5, caract6rise en ce quMI est 
adaptd ^ foumir une Information indiquant si i'eiSment qui lui a 6t6 pr6sent6 en 
dernier lieu iui a de\k 6t6 presents un nombre de fois qui dSpasse un nombre 
pr6d6termin6. 

35 

7. Proc6d6 de memorisation d'un §i6ment (J) dans un dispositif (5) 
seion I'une des revendications 2^4, caract§ris6 en ce qu'll comprend les 
6tapes consistant a 
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(a) recevoir un element (J) qui est presents au dispositif (5) ; 

(b) verifier si ledit Element (J) est dejd present dans ledit dispositif 

(5);et 

- en cas de verification positive, designer ledit didment (J) 
5 comme 6i§ment m§moris6 en dernier iieu, et 

- en cas de verification negative, memoriser ledit element (J) 

dans ie dispositif. 

8. Proc^de selon la revendication 7, caracterisS en ce qu'en cas de 
10 verification negative a I'etape (b) : 

- si la deuxieme memoire (2) n'est pas pleine, reiement regu (J) est 
memorise dans la deuxieme memoirs (2) ; et 

- si la deuxieme memoire (2) est pleine : 

i) I'eiement ie plus ancien memorise dans ladite deuxieme 
15 memoire est transfere vers la premiere memoire (3) ; et 

ii) I'eiement regu (J) est memorise dans la deuxieme memoire 

(2):et 

iii) si la premiere memoire (3) est pleine, alors un element 
memorise dans ladite premiere memoire est seiectionne aieatolrement 

20 pour etre efface de sorte que I'eiement ie plus ancien memorise dans 

ladite deuxieme memoire puisse @tre transfere vers ladite premiere 
memoire (3). 
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11. ..ELEMENT J PRESENT 
01. ..MANAGEMENT DEVICE 
02...MEMORYUNITA 
03...MEMORY UNIT B 



(57) Abstract: The invention relates to a device (5) for storing a list of elements, in which any element (J) that has been presented 
thereto is stored last. The inventive device comprises a first memory unit (3) and means for randomly selecting an element stored in 
_ the first memory unit, such that said selected element can be deleted and a new presented element stored when the first memory unit 
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